Quelles sont les méthodes d’authentification et de vérification disponibles dans Microsoft Entra ID ?
Microsoft recommande les méthodes d’authentification sans mot de passe telles que Windows Hello, les clés d’accès (FIDO2) et l’application Microsoft Authenticator car elles fournissent l’expérience de connexion la plus sécurisée. Bien qu’un utilisateur puisse se connecter à l’aide d’autres méthodes courantes comme un nom d’utilisateur et un mot de passe, les mots de passe doivent être remplacés par des méthodes d’authentification plus sécurisées.
L’authentification multifacteur de Microsoft Entra renforce la sécurité par rapport à l'utilisation d'un simple mot de passe lors de la connexion. L’utilisateur peut être invité à fournir des formes d’authentification supplémentaires, par exemple répondre à une notification push, entrer un code à partir d’un jeton logiciel ou matériel, ou répondre à un SMS ou à un appel téléphonique.
Pour simplifier l’expérience d’intégration des utilisateurs et s’inscrire à MFA et à la réinitialisation de mot de passe en libre-service (SSPR), nous vous recommandons d’activer l’inscription d’informations de sécurité combinée. À des fins de résilience, nous vous recommandons de demander aux utilisateurs d’enregistrer plusieurs méthodes d’authentification. Lorsqu’une méthode n’est pas disponible pour un utilisateur lors d’une connexion ou SSPR, il peut choisir de s’authentifier avec une autre méthode. Pour plus d’informations, consultez Créer une stratégie de gestion du contrôle d’accès résiliente dans Microsoft Entra ID.
Fonctionnement de chaque méthode d’authentification
Certaines méthodes d’authentification peuvent être utilisées en tant que facteur principal lorsque vous vous connectez à une application ou un appareil, par exemple à l’aide d’une clé de sécurité FIDO2 ou d’un mot de passe. D’autres méthodes d’authentification sont disponibles uniquement comme facteur secondaire lorsque vous utilisez une authentification multifacteur Microsoft Entra ou une SSPR.
Le tableau suivant décrit quand une méthode d’authentification peut être utilisée lors d’un événement de connexion :
| Méthode | Authentification principale | Authentification secondaire |
|---|---|---|
| Windows Hello Entreprise | Oui | MFA* |
| Notification Push Microsoft Authenticator | Non | Authentification multifacteur et réinitialisation de mot de passe en libre-service |
| Microsoft Authenticator sans mot de passe | Oui | Non* |
| Clé d’accès dans Microsoft Authenticator (préversion) | Oui | Authentification multifacteur et réinitialisation de mot de passe en libre-service |
| Authenticator Lite | Non | MFA |
| Clè d’accès (FIDO2) | Oui | MFA |
| Authentification par certificat | Oui | MFA |
| Jetons matériels OATH (version préliminaire) | Non | Authentification multifacteur et réinitialisation de mot de passe en libre-service |
| Jetons logiciels OATH | Non | Authentification multifacteur et réinitialisation de mot de passe en libre-service |
| Méthodes d’authentification externes (préversion) | Non | MFA |
| Passe d’accès temporaire (TAP) | Oui | MFA |
| SMS | Oui | Authentification multifacteur et réinitialisation de mot de passe en libre-service |
| Appel vocal | Non | Authentification multifacteur et réinitialisation de mot de passe en libre-service |
| Mot de passe | Oui | No |
* La fonctionnalité Windows Hello Entreprise, en soi, ne sert pas d’informations d’identification MFA de niveau supérieur. Par exemple, une demande d’authentification MFA liée à la fréquence de connexion ou à une requête SAML contenant forceAuthn=true. La fonctionnalité Windows Hello Entreprise peut servir d’informations d’identification MFA de niveau supérieur en étant utilisée dans l’authentification FIDO2. Pour que cela fonctionne correctement, l’authentification FIDO2 doit être inscrite chez les utilisateurs.
* La connexion sans mot de passe peut être utilisée en guise d’authentification secondaire uniquement si l’authentification basée sur un certificat est utilisée comme authentification principale. Pour plus d’informations, consultez Immersion technique avec l’authentification basée sur les certificats Microsoft Entra.
Vous pouvez configurer toutes ces méthodes d’authentification dans le centre d’administration Microsoft Entra, et de plus en plus à l’aide de l’API REST Microsoft Graph.
Pour en savoir plus sur le fonctionnement de chaque méthode d’authentification, consultez les articles conceptuels suivants :
- Windows Hello Entreprise
- Application Microsoft Authenticator
- Authenticator Lite
- Clè d’accès (FIDO2)
- Authentification par certificat
- Jetons matériels OATH (version préliminaire)
- Jetons logiciels OATH
- Méthodes d’authentification externes (préversion)
- Passe d’accès temporaire (TAP)
- Connexion SMS et vérification
- Vérification par appel téléphonique
- Mot de passe
Remarque
Dans Microsoft Entra ID, un mot de passe constitue souvent l’une des méthodes d’authentification principales. Vous ne pouvez pas désactiver la méthode d’authentification par mot de passe. Si vous utilisez un mot de passe en tant que facteur d'authentification principal, renforcez la sécurité des événements de connexion à l'aide de l’authentification multifacteur Microsoft Entra.
Les méthodes de vérification supplémentaires suivantes peuvent être utilisées dans certains scénarios :
- Mots de passe d'application : utilisés pour les anciennes applications qui ne prennent pas en charge l'authentification moderne et peuvent être configurés pour l’authentification multifacteur Microsoft Entra par utilisateur.
- Questions de sécurité : utilisées uniquement pour SSPR
- Adresse e-mail : utilisée uniquement pour SSPR
Méthodes utilisables et non utilisables
Les administrateurs peuvent voir les méthodes d’authentification utilisateur dans le centre d’administration Microsoft Entra. Les méthodes utilisables sont répertoriées en premier, ensuite viennent les méthodes non utilisables.
Chaque méthode d’authentification peut devenir inutilisable pour diverses raisons. Par exemple, un passe d’accès temporaire peut expirer ou l’attestation de la clé de sécurité FIDO2 peut échouer. Le portail va être mis à jour pour fournir la raison pour laquelle la méthode est inutilisable.
Les méthodes d’authentification qui ne sont plus disponibles en raison de la condition « Exiger une réinscription d’authentification multifacteur » s’affichent également ici.
Étapes suivantes
Pour commencer, consultez le tutoriel sur la réinitialisation de mot de passe en libre-service (SSPR) et l’authentification multifacteur Microsoft Entra.
Pour en savoir plus sur les concepts de SSPR, consultez Fonctionnement de la réinitialisation de mot de passe en libre-service dans Microsoft Entra.
Pour plus d’informations sur les concepts MFA, consultez Fonctionnement de l’authentification multifacteur Microsoft Entra.
Découvrez comment configurer les méthodes d’authentification à l’aide de l’API REST Microsoft Graph.
Pour connaître les méthodes d'authentification utilisées, consultez Analyse de la méthode d'authentification de l’authentification multifacteur Microsoft Entra avec PowerShell.